Перейти к основному содержанию
Реклама
Прямой эфир
Спорт
Сборная Аргентины обыграла команду Англии и вышла в финал ЧМ по футболу
Авто
За полгода спрос на новые кроссоверы и внедорожники вырос на 24%
Мир
На ЗАЭС назвали убийство Яковлева посягательством на ядерную безопасность
Мир
CENTCOM сообщило о начале новой серии ударов по Ирану
Армия
В ВС РФ весной направили 141 тыс. призывников
Мир
Федоров подтвердил уход с поста министра обороны Украины
Армия
Силы ПВО за день сбили 155 украинских беспилотников над территорией РФ
Общество
В Джанкое ограничили работу сотовой связи
Происшествия
Главный инженер ЗАЭС Яковлев убит в результате целенаправленного удара ВСУ
Мир
Суд Франции отклонил ходатайство об освобождении основательницы SOS Donbass
Мир
Власти Литвы и Латвии заявили о готовности принять ядерное оружие НАТО
Общество
Умер брат актера Баталова российский писатель и священнослужитель Михаил Ардов
Мир
Захарова обвинила США в несоблюдении международных договоров
Мир
Послы ЕС провалили согласование 21-го пакета антироссийских санкций
Общество
В Подмосковье спрогнозировали дождь с грозой и ветер до 15 м/с вечером 15 июля
Спорт
Петиция об исключении Аргентины с ЧМ-2026 набрала больше 10 млн подписей
Общество
МВД обяжет мигрантов при въезде в Россию покупать телефоны
Экономика
Аналитики спрогнозировали ключевую ставку на 2026 год на уровне 14,5%
Главный слайд
Начало статьи
Озвучить текст
Выделить главное
Вкл
Выкл

Банк России усиливает контроль за устойчивостью кредитных организаций к кибератакам. Как рассказал «Известиям» замглавы департамента информационной безопасности регулятора Артем Сычев, ЦБ совместно с ФСБ и Федеральной службой по техническому и экспортному контролю (ФСТЭК) разрабатывает специальные стандарты, по которым оценят качество работы независимых компаний, проверяющих надежность банковской инфраструктуры. Уточнять подробности он отказался, однако источник, близкий к регулятору, сообщил, что IT-аудиторов могут обязать в тестовом режиме взламывать защиту кредитных организаций с привлечением так называемых белых хакеров.

Добрые хакеры

Проверки защищенности платежной инфраструктуры, которые для банков проводят независимые компании, зачастую оставляют желать лучшего, заявил Артем Сычев. Поскольку от результатов таких тестов зависит безопасность средств граждан и корпораций, необходимы стандарты и механизмы контроля качества IT-аудиторов. ЦБ разрабатывает их совместно с ФСБ и ФСТЭК.

По каким именно критериям будут оценивать уровень проверок, он не уточнил, объяснив, что пока преждевременно говорить о деталях. В ФСБ и ФСТЭК на этот вопрос также не ответили. Близкий к регулятору источник рассказал «Известиям», что одним из основных стандартов для IT-аудиторов будет полноценная имитация кибератаки с привлечением так называемых белых хакеров — специалистов по информационной безопасности, которые обладают аналогичными настоящим взломщикам навыками. Собеседник на финрынке, знакомый с ситуацией, подтвердил, что такой норматив обсуждается.

Регулятор обязал банки проводить независимую оценку защищенности своих систем в апреле 2019 года. Согласно документам ЦБ, кредитные организации должны ежегодно тестировать свою платежную инфраструктуру на проникновение (например, приложение для мобильного телефона, беспроводные сети) с помощью внешних независимых компаний. Однако пока нормативной базы для таких проверок нет и каждая кредитная организация руководствуется собственными критериями качества при найме IT-аудиторов.

девушка изучает мобильное приложение банка
Фото: ИЗВЕСТИЯ/Алексей Майшев

В России проводить качественные тесты на проникновение в банковскую инфраструктуру могут немногие компании: прежде всего это организации, детально расследующие киберпреступления, пояснил Антон Фишман, руководитель департамента системных решений Group-IB (специализируется на киберзащите). В полноценное тестирование на проникновение входит, в частности, проверка инфраструктуры организации (например, сетей), публичных сервисов, имитация взлома программного обеспечения, проверка готовности персонала банка противостоять социальной инженерии, например фишингу, и так далее, уточнил эксперт.

Автор цитаты

По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ, объем хищений со счетов юридических лиц по итогам 2018 года составил 1,5 млрд рублей. За тот же период с платежных карт было украдено 1,4 млрд. С сентября прошлого года по август 2019-го ФинЦЕРТ выявил 694 нарушения требований к информационной безопасности среди банков, например отсутствие защиты на компьютерах от вредоносных приложений, а также невыполнение требований к идентификации работников.

Для борьбы с утечками

Во время теста исследователи воспроизводят действия реальных злоумышленников — от внедрения в сеть компании до получения полного контроля над инфраструктурой или отдельными приложениями. При такой операции есть и потенциально опасные мероприятия, например применение вредоносных программ, подбор паролей.

Однако состав тестов предварительно согласовывается с компанией-заказчиком и они проводятся в то время, когда вред от возможного отказа системы минимален, пояснил директор по методологии и стандартизации Postive Technologies (специализируется на киберзащите) Дмитрий Кузнецов.

Единственный вариант качественно оценивать защищенность IT-систем банков — это полностью имитировать хакерскую атаку, согласился директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов. Для этого необходимо проводить исследования наличия типовых уязвимостей систем защиты с использованием специализированных сканеров, а также тестировать их на проникновение с помощью компетенций хакеров.

знак кирпич возле банка
Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Банки зачастую делают проверки своей устойчивости не для себя, а для регулятора, поэтому он вправе устанавливать свои правила проведения IT-аудита для поднадзорного ему сектора, полагает глава ассоциации «Электронные деньги» Виктор Достов. Однако с контролем, насколько добросовестно специалисты по киберзащите соблюдают стандарты, возникнут сложности. К аудиторам финансовой отчетности также предъявляются довольно строгие требования, но практика показала, что их заключения, причем международных оценщиков в том числе, далеко не всегда соответствуют действительности.

В любом случае дополнительное усиление контроля за устойчивостью банков к кибератакам — только положительный фактор, уверен эксперт. В условиях регулярных утечек информации из кредитных организаций дополнительный контроль позволит усилить защиту денег россиян.

Читайте также
Прямой эфир